Chydo Win32 Drp

Здравствуйте!
Недавно сломался один из компьютеров (на всех стоял аваст), ну и поскольку был он довольно-таки старый, особого значения этому не придали, подумали, что отработал своё. Однако немного времени спустя из него вытащили жёсткий диск и через специальный адаптер подключили к другому компу. Запустили сканирование, аваст выдал три вируса. Среди них был Chydo Drp Win32. Скорее всего он и оказался причиной поломки первого компьютера. Причём, что интересно - во время сканирования он был удалён со съемного жёсткого диска, но после повторного подключения - на съемном жёстком диске обнаружилось несколько заражённых файлов, которые впоследствии были удалены авастом. Однако после ещё одного подключения этого же диска уже к другому компьютеру тем же самым авастом было найдено примерно то же количество заражённых файлов. Проблема заключается ещё в том, что пока об этом не знали, скопировали файлы со съемного жёсткого диска на один из компьютеров, и когда запустили на нём сканирование авастом, “Чудо” то он нашёл и удалил, но только к этому моменту это “чудо” успело сделать так, чтобы на компьютере не открывалось большинство exe-файлов, даже regedit не даёт открыть. Плюс ко всему, когда нажимаешь на exe-ярлыки выдаётся сообщение, что невозможно найти файл с такими именем в данной директории, хотя если посмотреть путь к файлу в свойствах самого файла - там он прописан правильно. Плюс к этому, некоторые из основных меню Windows, типа дополнительных параметров системы тоже не открываются. Что удивительно - данная проблема с похожим описанием встречается на многих форумах ещё аж с 2012 года (если не раньше), и в большинстве случаев как-то обрывается, то есть нет чёткой инструкции, что надо сделать, чтобы полностью уничтожить заразу и восстановить систему. Из-за этого пока приходится держаться пару компов выключенными(на втором из компьютеров после удаления “Чуда” скопировали файлы, и потом на нём также нашлись заражённые файлы), потому что Аваст, так же как и Доктор Веб, и Касперский в аналогичных описаниях находит заражённые “хвосты” этого вируса, и когда он удаляет заражённые файлы - появляются другие. Плюс про этот вирус ещё пишут, что он может распространяться по локальной сети. В общем с такими вирусами ещё ни разу не встречался, честно говоря пока не очень понятно как вообще решить эту проблему. Как можно его удалить и восстановить/вылечить после него систему?

То есть Вы утверждаете, что вирус на внешнем винте подключенный к кристально чистому ПК способен размножиться при его уничтожении? Бред какой-то.

Может “второй” ПК уже был им заражён?

Старый знакомый - Neshta.

https://ru.wikipedia.org/wiki/Neshta

Видимо часть ваших компов заражена.

Лечение описано там же, в википедии.

ИМХО

Попробовал метод лечения от Neshta. Перезагрузил в безопасном режиме и запустил CureIt,выбрал стандартное сканирование, он нашёл один троян. Удалил. Затем зашёл в реестр, следуя указаниям в википедии, там все итак было прописано правильно. Тем не менее создал текстовый файл, переименовал в файл с форматом reg и добавил в реестр. Перезагрузил - осталось всё то же самое. Единственное - что можно отметить - в безопасном режиме exe-файлы открываются. Теперь снова перезапустил windows в безопасном режиме и запустил CureIt!, только в этот раз выбрал не стандартное сканирование, а отметил вручную все папки и диски, чтобы программа просканировала полностью весь компьютер. На данный момент CureIt! нашел уже 10 угроз. И потом, на всякий случай напомню - вирус назывался Chydo, а не Neshta. Просто когда вы написали про Neshta, я подумал, что может быть это его второе название, но видимо это не так. Кстати все угрозы, которые сейчас нашёл CureIt! находятся на диске С.

А вы на вирустотал проверьте один заражённый файл.
Что там напишут?

https://www.virustotal.com/

Понимаете, вся проблема могла быть в том, что антивирус всего лишь создал видимость его уничтожения, но при этом не разобрался с ним до конца.
Насчёт заражения второго пк - прежде, чем его начали сканировать, на него передали все файлы с жёсткого диска первого пк. То есть на момент сканирования он уже был заражён.

Надо учесть, что это сетевой червь, поэтому при лечении машину от сети надо отключать.

Komp17, можете скинуть зараженный файлик через http://rghost.ru/ (запароленный в архиве)?
Ссылку мне в личку…

Нужно разобраться как вытащить те самые заражённые файлы, которые нашёл CureIt!.
Пока могу написать название угроз, найденных CureIt!'ом.
Итак, вот они:
Trojan.InstallMonster.993
Adware.Toolbar.213
Инфицированный контейнер: Adware.Downware.1…
Инфицированный контейнер: Adware.Downware.1…
Program.Zona.10
Adware.Toolbar.261
Trojan.Siggen5.64337
Program.Zona.4
Adware.Toolbar.261
Trojan.Ormes.8
Trojan.Ormes.13
Trojan.Ormes.2
Trojan.Ormes.2
Trojan.Ormes.8
Trojan.Ormes.13
Adware.Downware.179
Adware.Downware.179
Program.Unwanted.33
Trojan.KillProc.30343
Trojan.InstallMonster.51

Что-то я не очень понимаю, как вытащить их из карантина, чтобы упаковать в архив и отправить вам, потому что там отображаются всего 3 кнопки - удалить, восстановить и ОК. Кнопка “Восстановить как…” - блёклая. Как их вытащить, чтобы потом не заразить компьютер ими же?
P.S. Просто до этого подобным не занимался.

Komp17, то, что в списке, меня не интересует. Я речь веду о Chydo.

Сам Chydo уже давно не отображается в списке найденных вирусов, но на многих форумах пишут, что подобное обилие вирусов появляется на компьютере именно после появления этого Chydo. Если его и можно где-то найти, то скорее всего, если только информация о нем сохранилась где-нибудь в истории аваста.

Скинул ссылку на файл с вирусом в личку.